Vice Society utiliza un ransomware personalizado con nuevos algoritmos de cifrado

Los investigadores de SentinelOne descubrieron que el grupo Vice Society ha lanzado PolyVice, un ransomware personalizado que emplea un esquema de cifrado fiable basado en los algoritmos NTRUEncrypt y ChaCha20-Poly1305.

El PolyVice se describe como un binario de 64 bits que emplea un esquema de cifrado híbrido que combina el cifrado asimétrico mediante el algoritmo NTRUEncrypt con el cifrado simétrico mediante el algoritmo ChaCha20-Poly1305.

Emplea una estrategia multihilo que paraleliza el proceso de cifrado en el ordenador de la víctima. Cada unidad de trabajo de este procesamiento paralelo evalúa el tamaño del archivo para mejorar el ritmo y acelerar el cifrado. Los archivos de menos de 5 MB se cifran completamente, mientras que los de mayor tamaño se cifran parcialmente. Esto se suma a un esquema de cifrado híbrido que combina el cifrado asimétrico y simétrico para cifrar los archivos de forma segura. Los archivos de entre 5 MB y 100 MB se cifran en dos trozos de 2,5 MB, mientras que los archivos de mayor tamaño se cifran en diez trozos de 2,5 MB repartidos por todo el archivo.

A continuación, añade la extensión de archivo .ViceSociety a todos los archivos cifrados y coloca notas de rescate en cada directorio cifrado con el nombre de archivo AllYFilesAE. Además, cada cepa añade información necesaria para el descifrado al pie del archivo.

El ransomware PolyVice se utilizó en un reciente ataque de la banda Vice Society con una extensión, y se sospecha que es del mismo proveedor que los ransomwares Chilly y SunnyDay, ya que sus características son similares, con ligeras diferencias.

Esto sugiere un "Locker-as-a-Service" ofrecido por un actor de amenazas desconocido en forma de constructor, que permite a los compradores personalizar sus cargas útiles, incluyendo la extensión del archivo cifrado, el nombre del archivo de la nota de rescate, el contenido de la nota de rescate y el texto del fondo de pantalla, entre otras cosas.

Se ha observado actividad de Vice Society desde junio de 2021, con cepas de ransomware de terceros como "HelloKitty", "Five Hands" y "Zeppelin" siempre utilizadas, según SentinelOne. Además, el grupo Vice Society utilizaba cifrado intermitente o cifrado parcial, en el que se cifran pequeños trozos de archivos en lugar de todo el archivo. Esto inutiliza los datos en una fracción del tiempo necesario para cifrar el archivo completo.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.